Scelta dell'account di servizio
È possibile stabilire di eseguire un'istanza di MicrosoftSQL ServerAnalysis Services nel contesto di protezione di numerosi account diversi. È consigliabile, tuttavia, utilizzare un account utente locale o di dominio come account di accesso per Analysis Services. L'utilizzo di un account utente locale o di dominio dipende dall'esigenza o meno di Analysis Services di connettersi alle risorse di rete, come descritto nell'elenco seguente:
Se Analysis Services deve essere connesso alle risorse di rete nel contesto di protezione del relativo account di accesso, eseguire l'istanza di Analysis Services nel contesto di protezione di un account utente di dominio dedicato.
Se Analysis Services non deve essere connesso alle risorse di rete nel contesto di protezione del relativo account di accesso, eseguire l'istanza di Analysis Services nel contesto di protezione di un account utente locale o di un account utente di dominio.
Dopo avere selezionato un account di accesso, è inoltre consigliabile evitare di utilizzare tale account per altri scopi. La limitazione dell'utilizzo dell'account di accesso consente di proteggere la crittografia delle stringhe di connessione e delle password.
Utilizzo di un account utente di dominio dedicato come account di accesso
Un account utente di dominio è un account utente creato nel servizio Active Directory. Tale account è un membro del gruppo Authenticated Users nel dominio. Un servizio in esecuzione nel contesto di protezione di un account utente di dominio presenta il ticket Kerberos dell'account utente di dominio ai server remoti. Un servizio in esecuzione nel contesto di protezione di un account utente di dominio può accedere alle risorse nel server remoto per cui il gruppo Authenticated Users o l'account utente specifico dispone delle autorizzazioni di accesso.
Utilizzo di un account utente locale come account di accesso
Un account di utente locale è un account di utente di Windows creato nel computer locale. Un servizio in esecuzione nel contesto di protezione di un account utente locale presenta il token di accesso per l'account utente locale ai server remoti. Se nel server remoto sono configurati un nome utente e una password corrispondenti, un servizio che utilizza un account utente locale potrà accedere alle risorse nel server remoto per cui l'account dal nome identico dispone delle autorizzazioni. Benché questo scenario assicuri un funzionamento corretto, se si mantengono tali account distinti e le relative password sincronizzate, si provoca un aumento dell'overhead di gestione.
Utilizzo di altri account come account di accesso
Oltre a un account utente di dominio dedicato e a un account utente locale, è possibile eseguire un'istanza di Analysis Services nel contesto degli account seguenti:
Sistema locale
Account locale predefinito che dispone di diritti di amministratore nel computer locale. Un servizio in esecuzione nel contesto di protezione dell'account Sistema locale presenta le credenziali del computer locale ai server remoti. Un servizio in esecuzione nel contesto di protezione dell'account Sistema locale non può stabilire una sessione autenticata, in quanto tale account non appartiene al gruppo Everyone del dominio. Di conseguenza, un servizio che utilizza questo account può accedere alle risorse di rete solo utilizzando una sessione Null.LocalService
Account locale predefinito che dispone di diritti utente autenticato nel computer locale. Un servizio in esecuzione nel contesto di protezione dell'account LocalService presenta credenziali anonime ai server remoti. Di conseguenza, un servizio che utilizza questo account può accedere solo alle risorse di rete che consentono l'accesso anonimo.NetworkService
Account locale predefinito che dispone di diritti utente autenticato nel computer locale. Un servizio in esecuzione nel contesto di protezione dell'account NetworkService presenta le credenziali del computer locali ai server remoti come utente autenticato, ovvero come un utente membro del gruppo Everyone nel dominio. Di conseguenza, un servizio che utilizza questo account può accedere alle risorse nel server remoto per cui gli utenti del gruppo Authenticated Users dispongono delle autorizzazioni di accesso. Per attivare un servizio che utilizza questo account per accedere a una risorsa remota, è possibile aggiungere in modo specifico il nome del server in cui è in esecuzione Analysis Services alla risorsa remota.
Con gli account inclusi nell'elenco precedente o con qualsiasi altro account, la procedura consigliata consiste nell'eseguire Analysis Services nel contesto di protezione di un account che disponga del minor numero possibile di diritti. L'account Sistema locale è appropriato per l'ambiente di sviluppo, ma questo account amministrativo non è consigliato per l'ambiente di produzione, in quanto dispone di un numero eccessivo di diritti. Sono sconsigliati anche gli account LocalService e NetworkService. Benché progettati per l'utilizzo come account di accesso al servizio con diritti minimi, gli account LocalService e NetworkService non sono consigliati per Analysis Services, in quanto le stringhe di connessione e le password crittografate di Analysis Services possono essere decrittografate dall'account di accesso di Analysis Services. Ciò significa che un altro servizio in esecuzione con lo stesso account di accesso di Analysis Services potrà decrittografare tali stringhe di connessione e password.
Impostazione dell'account di accesso di Analysis Services
Dopo avere stabilito il contesto dell'account di accesso da utilizzare, è necessario specificare l'account di accesso durante la configurazione nella pagina Account servizio. Tramite il processo di configurazione all'account di accesso specificato vengono concessi tutti i diritti necessari nel computer locale, inclusi quelli relativi alle operazioni seguenti:
Ignorare i controlli di attraversamento
Creazione di oggetti token
Generazione di controlli di protezione
Blocco di pagine nella memoria
Sostituzione di un token a livello di processo
All'account di accesso di Analysis Services vengono inoltre concesse autorizzazioni di controllo completo NTFS per tutti i file inclusi nell'istanza di Analysis Services. I diritti necessari nei server remoti, ad esempio alle origini dei dati, devono essere concessi in modo specifico all'account di accesso.
[!NOTA]
L'account di accesso di Analysis Services non dispone di autorizzazioni per accedere a un'istanza di Analysis Services, benché disponga invece dell'accesso Controllo completo a tutti i file inclusi nell'istanza di Analysis Services.